ESET, Google’ın son kısıtlamalarını ortadan kaldırarak SMS izinlerini kullanmadan 2FA mesajlarındaki tek kullanımlık parolalara (OTP) erişebilen kötü amaçlı uygulamalar keşfetti.
Google, Mart 2019’da Android uygulamalarında SMS ve Arama Günlüğü izinlerinin kullanımını kısıtladığında, bunun olumlu etkilerinden biri de kimlik hırsızlığı uygulamalarının SMS tabanlı iki faktörlü kimlik doğrulama (2FA) mekanizmalarını atlatarak bu izinleri kötüye kullanma seçeneklerini kaybetmeleri şeklinde ortaya çıktı.
Artık Google’ın son kısıtlamalarını ortadan kaldırarak SMS izinlerini kullanmadan 2FA mesajlarındaki tek kullanımlık parolalara (OTP) erişebilen kötü amaçlı uygulamalar keşfettik. Bonus olarak, bu teknik ayrıca bazı e-posta tabanlı 2FA sistemlerinden OTP elde etmek için de çalıştırılabilir.
Uygulamalar, Türk kripto para değişim platformu BtcTurk’ü taklit ederek bu servise giriş yaparken girilen kullanıcı bilgilerini elde etmeye çalışır. Bu kötü amaçlı uygulamalar kullanıcıların hesaplarında ve işlemlerinde 2FA korumasını atlatmak için SMS mesajlarına müdahale etmek yerine, OTP’yi tehlikeye giren cihazın ekranında görünen bildirimlerden almaktadırlar. Uygulamalar 2FA bildirimlerini okumanın yanı sıra, kurbanların sahte işlemlerin gerçekleştiğini fark etmelerini önlemek için bunları da devre dışı da bırakabilirler.
ESET ürünleri tarafından Android/FakeApp .KP olarak algılanan her türlü kötü amaçlı yazılım, yeni SMS yetki kısıtlamalarını atlatmak üzere tespit edilen ilk yazılımlardır.
Kötü amaçlı uygulamalar
Analiz ettiğimiz kötü amaçlı uygulamalardan ilki, 7 Haziran 2019 tarihinde Google Play’e “BTCTurk Pro Beta” ismiyle, “BTCTurk Pro Beta” adlı geliştirici tarafından yüklendi. ESET aracılığıyla Google’ın güvenlik ekiplerine bildirilmeden önce 50’den fazla kullanıcı tarafından yüklendi. BtcTurk bir Türk kripto para birimi borsasıdır; resmi mobil uygulaması borsanın web sitesine bağlıdır ve yalnızca Türkiye’deki kullanıcılar tarafından kullanılabilmektedir.
İkinci uygulama 11 Haziran 2019 tarihinde “BtcTurk Pro Beta” ismiyle, “BtSoft” adlı geliştirici tarafından yüklendi. İki uygulama çok benzer bir kılık değiştirme yöntemi kullansa da, farklı saldırganların işi gibi görünüyorlar. Uygulamayı 12 Haziran 2019’da, henüz 50’den az kullanıcı tarafından yüklendiğinde bildirdik.
Bu ikinci uygulama kaldırıldıktan sonra, aynı saldırganlar bu sefer “BTCTURK PRO” isimli; aynı geliştirici adına, simgesine ve ekran görüntülerine sahip olan, aynı işlevsel özelliklere sahip başka bir uygulama yüklediler. Uygulamayı 13 Haziran 2019 tarihinde bildirdik.
Lukas Stefanko tarafından hazırlanan bu detaylı makalenin tamamını buradaki bağlantıdan okuyabilirsiniz.
